某集团运维操作管理系统方案

2013/12/15 16:30:51

暂无图片。

详细介绍

南方科创通过跟客户沟通,了解到客户希望有一套系统能够在运维过程中进行事前预防、身份认证、操作行为审计、事后查询等功能,我们给客户提供了一个合适的解决方案,通过跟KVM结合,一同对运维过程进行有效的管控,满足上市公司政策要求及等保、企业内控等多项要求。

一、用户基本状况

随着公司业务的快速发展和信息化的快速普及,公司在享受信息化所带来的诸多便利的同时,也不得不面临由此所带来的各种风险:用户的违规操作常导致业务系统服务异常或者宕机;用户的恶意操作会导致敏感信息泄露或被篡改破坏;系统出现故障时无法准确定位责任人等。所以,如何保障业务系统的稳定运行和核心数据的安全可靠,有效降低运维操作风险已经成为数据中心不得不考虑的问题。

二 运维固有风险分析

2.1 内部操作不透明

在目前的应用环境下,关键应用服务器都放在内部专用的私有网络中,和互联网彼此不相通,就算有接入的需要,一般也会以专线或者VPN方式保证接入的安全。所以,更重要的是,如何监管来自内部的误操作和违规操作。

防火墙、防病毒、入侵检测设备等常规的安全产品,可以解决一部分的安全问题,但对于内部人员的违规操作却无能为力。目前应用程序都有相应的审计日志,可以解决应用系统层的审计问题,但是对于操作系统层和数据库层的违规操作(非法修改系统和应用等),无从审计。

2.2 外部操作不可控

企业在发展的过程中,因为战略定位和人力等诸多原因,越来越多的将非核心业务外包给设备商或者其他专业代维公司。如何有效的监控设备厂商和服务人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度,只能约束一部分人的行为,只有通过有效的技术手段才能确保规章制度的有效执行。

2.3 安全隐患

由运维操作风险带来的安全隐患是:

Ø 关键应用服务异常甚至宕机

Ø 敏感信息泄露或被篡改、破坏

Ø 无法有效取证和举证维护过程中出现的问题

Ø 操作事故无法快速定位责任人与责任原因

2.4 必要性分析

为了解决以上问题,降低因为人为操作所带来的安全隐患和风险,有必要对维护人员的操作行为进行有效的管理和控制,从而降低人为操作所带来的风险。

同时,用户需要的绝对不是单一的操作审计功能,因为审计永远都是事后的行为,从来都没有事前,事中的审计。必须通过对操作的全面管理(事前控制,事中监控,事后审计)才能真正降低运维操作风险,提高运维操作安全。

三、堡垒机架构及功能要求

3.4.1 架构

堡垒机会放在生产环境,主要用来管理用户对生产环境的所有设备的操作,逻辑示意图如下:

部署说明:

Ø 用户使用浏览器登录堡垒机的WEB登录界面(橙色线条);

Ø 输入正确的用户账号和静态口令;

Ø 认证信息(合法用户名及正确口令)通过RADUIS协议发送到AD服务器(蓝色线条);确认通过后,允许用户登录进WEB管理界面;

Ø 用户登录上来之后,即可看到自己能访问的设备和在该设备上能使用的系统账号,逐一选择,自动登录(红色线条)。

为了解决目前运维中出现的以上问题和风险,堡垒机应具有以下功能:

3.4.2 帐号管理

堡垒机系统应具有登录堡垒机帐号密码(用户账号密码)、目标可访问设备帐号密码(系统账号密码)及维护人员信息的管理功能,包括帐号及可访问设备的增加、删除、修改等操作。

3.4.3 密码管理

堡垒机应具有过期用户账号密码可过期自动修改功能。

堡垒应具有目标设备密码托管功能,可以实现对目标设备的一次登录。

堡垒机必须拥有对UNIX系统目标设备密码的定期自动修改功能,修改的方式和结果管理员可以自己定义。

3.4.4 统一鉴权

系统必须可以通过本地认证、动态令牌认证、AD域和LDAP认证等认证方式,对用户账号进行统一鉴权,并实现对可访问设备的单点登录。

系统必须通过帐号、口令或软硬件令牌等因素对登录堡垒机的帐号进行统一鉴权,并实现对可访问设备的单点登录。

任何帐号的口令必须通过加密方式存储和展示,并支持自定义口令长度、口令有效期、口令复杂度等参数。

3.4.5 访问控制

堡垒机系统必须对所辖登录帐号的权限,进行严格的区分和管理。包括对用户(用户组)、角色、可访问设备(设备组)、登录帐号地址等进行灵活的策略定制,还可以给予访问时间、和允许访问IP,来设定严格的登录规则。

3.4.6 权限控制

 针对终端字符操作,可灵活有效的制定命令黑白名单,严格限制某台设备上允许或禁止执行某些命令,达到对共享系统帐号权限再分配的目的。同时,对策略限定的关键字(高危命令),堡垒机必须可以做到实时告警和拦截。 

3.4.7 实时监控

 对于正在进行的任一图形或终端字符操作会话,必须可以做到实时监控,从而实现边操作边审计的目的。

堡垒机还必须可以做到对监控到的违规操作的实时切断功能。

3.4.8 协议支持

堡垒机系统必须支持对目标可访问设备的基于Telnet、FTP、SFTP、SCP、SSH、RDP、VNC、Xwindows、HTTPS、HTTP协议连接的访问。

3.4.9 操作会话控制与审计

堡垒机系统必须对任何帐号登录堡垒机后作出的任何操作及输出结果进行记录。

对于基于Telnet、SSH、RDP协议的操作,应具有操作命令及执行结果回放、命令或结果关键字过滤查询、操作日志导出(格式为excel或文本文件)功能,命令的回放方式应支持从任一命令点开始回放。

对于基于RDP、VNC、Xwindows、HTTPS、HTTP协议的访问,应具有屏幕录制及操作回放功能,其中屏幕录制应使用压缩方式的录制,操作回放功能必须支持倍速回放、进度拖拉、自动过滤静止会话的功能。

对基于FTP、SFTP协议的操作,应该可以完整记录用户的操作过程,包括对文件的上传、下载、删除、修改权限等等。

为了便于文件的上传下载,堡垒机需提供磁盘映射的功能,将本地磁盘映射到目标服务器上去。

对于所有协议的操作,应支持可访问设备的IP地址、操作者信息(包括堡垒机登录帐号、操作者IP)、访问时间、访问协议的过滤查询。

图形操作审计的内容,应包含对键盘、鼠标操作的记录和回放。

3.4.10 部署方式

堡垒机的接入,应简单易行,不允许对目标可访问设备进行硬件、软件上的变更,应在最小限度内减少对现有网络、访问者系统的影响。

用户可以通过堡垒机的WEB界面,直接登录访问后台任一目标设备,实现全WEB化管理。访问浏览器必须至少支持MaxthonIE6,firefox

3.4.11 合理性分析

经过充分的研究和讨论,借鉴银行的堡垒机经验,我们认为,只有满足以上要求的堡垒机,才可以真正帮助我们实现对运维操作的有效监管:

Ø 操作网关方式部署,全WEB化运维,实现集中管理;

Ø 共享账号管理,实现操作实名制;

Ø 访问控制,限定合法用户访问合法资源,降低非授权用户操作所带来的风险;

Ø 权限控制,限定用户的操作权限,实现对系统帐号权限的二次细分,降低最高权限账号所带来的风险;

Ø 实时监控,实现操作透明;

Ø 操作审计,完善责任认定体系;

堡垒机通过对用户操作进行事先的主动预防、事中的主动监控和控制、事后的审计和回放,从而让用户的操作行为变得可视、可管、可控、可追踪。

总结

用户通过部署运维审计系统产品(堡垒机, 可以实现效果:

1、 可以实现IT人员统一登录在不同账号权限下通过HAC运维安全审计系统远程维护主机.

2、 IT人员尽可保持原来的操作习惯,以HAC运维安全审计系统为运维终端实现统一运维.

3、 IT人员对远程设备的操作行为可以被审计保存并随时翻查回放.

4、 能够有效控制IT技术维护工作中的越权操作、误操作、恶意破坏等安全风险,实现对维护操作的控制和约束

5、 对管理员的关键密码可以进行统一,安全的管理.

6、 运维审计系统,系统具有一定的防攻击特性.稳定安全.

 

更多图片